Disposiciones del Reglamento Europeo
Para que esta excepción sea de aplicación, es necesario que se cumplan dos condiciones:
- Primero, que los datos tratados se limiten a los señalados en el reglamento (la exclusión no afectaría a ficheros en los que, por ejemplo, constara el DNI)
- Segundo, la finalidad del tratamiento debe corresponderse con el contacto con la persona jurídica.
Respecto de los datos del empresario individual, el reglamento excluye de su ámbito de aplicación, en su artículo 2.3, a los datos del comerciante que hagan únicamente referencia a su actividad empresarial. Este criterio se ha visto recogido directamente en el Informe 2008/78 de la AEPD.
En lo que a las definiciones se refiere, el reglamento aporta, en su artículo 5.2, una serie de definiciones, de carácter más o menos técnico, pero referidas a las medidas de seguridad técnicas y organizativas que deben aplicar los responsables de ficheros. Aunque parezca raro, conceptos como acceso autorizado, autenticación, contraseña, fichero temporal, sistema de información, aparecen definidos en el reglamento.
Principios de la protección de datos
- Calidad de los datos: El artículo 8 del Reglamento desarrolla el contenido de este principio, añadiendo una serie obligaciones adicionales a las ya recogidas en la ley, a saber:
- Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.
- Imposibilidad de utilizar los datos para finalidades incompatibles para las que motivaron su recogida.
- Los datos deben ser actualizados y puestos al día, de modo que respondan con veracidad a la situación actual del afectado.
- Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.
- Los datos de carácter personal serán tratados de forma que permitan el ejercicio del derecho de acceso, en tanto no proceda su cancelación.
- Deber de información: El deber de información como tal viene regulado en el artículo 5 de la LOPD. El reglamento viene a desarrollar lo enunciado por este principio, aportando una serie de aclaraciones que se detallan a continuación:
- En lo que se refiere a la obtención del consentimiento de los menores de edad, el artículo 13.3 del reglamento señala que el lenguaje que a ellos se dirija debe ser comprensible.
- Cuando se produzca alguna modificación en el responsable del fichero como consecuencia de alguna operación de fusión, escisión, etc., no se considerará cesión, pero estará obligado a cumplir con lo expuesto para el derecho de información en el artículo 5.
- Consentimiento del afectado: La figura del consentimiento es el eje sobre el que gira toda la regulación. Esta siempre fue una materia generadora de conflictos interpretativos en todos los ámbitos, de ahí que el reglamento intente aportar luz en este sentido en sus artículos 12 a 18:
- Cuando se recabe el consentimiento en un contrato para fines no relacionados con la propia relación contractual, la normativa exige que se informe de todas las finalidades concretas para las que se pretende que el interesado dé su consentimiento.
- Se recoge en el artículo 17 la posibilidad de revocar el consentimiento a través de un medio sencillo, gratuito y que no implique ingreso alguno para el responsable del fichero.
El encargado del tratamiento
El acceso a los datos por cuenta de terceros, regulado en el artículo 12 de la LOPD, siempre fue, también, uno de los aspectos importantes de la ley, ya que la forma en que se prestan servicios implica o puede implicar el tratamiento de datos de otras empresas. Este tratamiento, realizado por el denominado Encargado del Tratamiento, está sujeto a las obligaciones recogidas en el artículo 12, y el reglamento, en sus artículos 20 a 22.
Viene a aclarar determinadas cuestiones:
- En el artículo 20, se concretan aspectos sobre la relación entre responsable y encargado, por ejemplo, que la relación podrá ser remunerada o no y que podrá ser temporal o indefinida.
- Cadenas de subcontratación. El artículo 21 regula la posibilidad de que el encargado del tratamiento subcontrate, a su vez, con otros prestadores de servicios, si bien esta subcontratación debe hacerse bajo determinadas condiciones para que el responsable no pierda el control y esté informado y haya autorizado esta subcontratación.
- Conservación de los datos por el encargado del tratamiento. Con carácter general, una vez terminado el tratamiento, el encargado deberá destruir los datos o entregarlos al responsable según se haya acordado. Eso sí, el encargado podrá conservar los datos debidamente bloqueados en tanto en cuanto pudieran derivarse responsabilidades de su relación con el responsable del tratamiento.
- Por último, hay que hacer mención a lo dispuesto en el artículo 26, y es que los interesados tienen la posibilidad de ejercer los derechos ARCO ante el encargado del tratamiento. El encargado del tratamiento deberá dar traslado de la solicitud al responsable salvo que hayan pactado otra cosa y sea el propio encargado del tratamiento el que gestione la solicitud. Un ejemplo de esta última situación se ve en el Fichero Histórico de Seguros del Automóvil y el Fichero de Siniestros de Pérdida Total, Robo e Incendio.
Comentarios